Hi, ich habe einen Server mit 2 Netzwerkkarten, die in unterschiedlichen Subnetzen (192.168.201.0 + 192.168.178.0) liegen. Eines der Netze hat Internetzugang und Zwei IP-Drucker, das andere hat weder Internetzugang (und soll es auch nicht haben) noch Drucker. Wie kann ich es anstellen, daß die Drucker aus beiden Netzen benutzt werden können. Alle Rechner sind mit dem Server verbunden, der Switch hat 2 VLans eingerichtet.
Danke!
Wie kann ich es anstellen, daß
die Drucker aus beiden Netzen benutzt werden können. Alle
Rechner sind mit dem Server verbunden, der Switch hat 2 VLans
eingerichtet.
Indem du im geschützten Netz keine Defaultroute, aber eine Route auf das Netz, in dem die Drucker stehen, setzt.
HTH
Schorsch
Danke, das wäre ein Möglichkeit - aber sie gefällt mir nicht, denn dann muß ich an jedem Rechner das Gateway verändern und die kommen dann alle in das komplette Netz - das will ich nicht. Gibt es keine Möglichkeit auf dem Server eine feste Route nur zu den Druckern einzurichten? Oder kann man in der Host Datei oder ähnlichem den Weg angeben?
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Danke, das wäre ein Möglichkeit - aber sie gefällt mir nicht,
denn dann muß ich an jedem Rechner das Gateway verändern und
die kommen dann alle in das komplette Netz
Wieso? Ich hatte doch klar geschrieben:
Indem du im geschützten Netz keine Defaultroute […] setzt
Was hat das mit irgendwelchen Gateways zu tun?
Gruss
Schorsch
Hi…
ich habe einen Server mit 2 Netzwerkkarten, die in
unterschiedlichen Subnetzen (192.168.201.0 + 192.168.178.0)
liegen. Eines der Netze hat Internetzugang und Zwei
IP-Drucker, das andere hat weder Internetzugang (und soll es
auch nicht haben) noch Drucker. Wie kann ich es anstellen, daß
die Drucker aus beiden Netzen benutzt werden können. Alle
Rechner sind mit dem Server verbunden, der Switch hat 2 VLans
eingerichtet.
Entweder kann das der Switch, weil er in Wahrheit ein Router ist (ein drittes VLAN für die Drucker, Routing aus beiden anderen Netzen), oder der Server muß als Gateway zwischen den beiden Netzen fungieren.
Wenn es ausreicht, daß die Rechner in Netz B nicht ins Internet kommen, genügt es, wenn das Gateway keine default route zum WAN-Router hat.
Muß der Server einen Internetzugang haben oder sollen die Rechner aus Netz B nur auf die Drucker, aber nicht auf die Rechner in Netz A zugreifen können, geht das am einfachsten mit einem Filter auf dem Server. Für *x gibt es dazu netfilter, wenn Windows auf dem Server läuft, musst Du jemand anderen fragen.
genumi
Hmm, ich weiß noch weniger, als ich dachte 
Kannst du mir das mal für Dumme und Soldaten aufschreiben? wie geht das?
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hmm, ich weiß noch weniger, als ich dachte
das mal für Dumme und Soldaten aufschreiben? wie geht das?
Für Soldaten? Das könnte schwer fallen. Da du den Begriff des Standardgateway (SG) verwendet hast, gehe ich im folgenden davon aus, dass du irgendein Windows-Derivat fährst.
In den Netzwerkeinstellungen im geschützten Netz lässt du den Eintrag fürs SG leer. Ihren Server finden die Rechner dennoch, da dieser im gleichen Subnetz liegt.
In der Eingabeaufforderung kannst du jetzt Routen für die Netze hinzufügen, die über den Server erreicht werden sollen. Als Gateway für die jeweilige Route trägst du den Server ein, die Netzmaske wählst du möglichst klein, aber zum zu erreichenden Netz passend.
Weisst du über die Drucker, dass sie im Netz 192.168.201.0 liegen, weisst aber nicht deren jeweilige IP-Adresse oder willst dir eine gewisse Flexibilität bewahren, sähe der Eintrag z. B. so aus (Server angenommen mit 192.168.178.1):
route add 192.168.201.0 mask 255.255.255.0 192.168.178.1 -p
Das unscheinbare -p am Befehlsende sorgt dabei dafür, dass dieser Routeneintrag auch über einen Systemneustart erhalten bleibt.
Kennst du die IP-Adresse x der Drucker und willst max. Einschränkung des Routings, kann die Route wie folgt eingeschränkt werden:
route add 192.168.201.x mask 255.255.255.255 192.168.178.1 -p
Mittels des Befehls „route print“ kannst du anschließend das Ergebnis überprüfen. Bei einem leeren SG darf dann insbesondere keine Route auf das Netzwerkziel 0.0.0.0 zeigen.
Eine andere Problematik ist, sicher zu verhindern, daß Anwender im geschützten Netz sich über diese Einrichtung hinwegsetzen, indem sie selbst Routen eintragen. In diesem Fall wäre auf Genumis Vorschlag mit der Errichtung einer Sperre auf dem Server zurückzukommen.
HTH
Schorsch
P.S.:
Kennst du die IP-Adresse x der Drucker und willst max.
Einschränkung des Routings, kann die Route wie folgt
eingeschränkt werden:route add 192.168.201.x mask 255.255.255.255 192.168.178.1 -p
Bei mehreren Druckern wäre natürlich eine Route je Drucker hinzuzufügen.
Eine andere Problematik ist, sicher zu verhindern, daß
Anwender im geschützten Netz sich über diese Einrichtung
hinwegsetzen, indem sie selbst Routen eintragen.
Ist etwas übertrieben; eine Route hinzuzufügen sind Administratorrechte erforderlich, einfachen Benutzern und selbst Hauptbenutzern wird das Hinzufügen verweigert.
Gruss
Schorsch
Hallo Schorsch,
erst mal danke für Deine Mühe!
ich krieg es nicht gebacken! Ich habe die Routen sowohl auf dem Server als auch auf meiner Workstation eingetragen, aber der Ping geht einfach nicht durch und ich kann auch die Druckserver nicht über Firefox aufrufen. Ich glaube beschreibe ich nochmal genauer meine Konfiguration:
Server mit Windows Server X64, 2 Netzwerkkarten 1 x 192.168.202.210, 1x 192.168.178.210
Workstations unter Windows XP Pro
WAN über Cisco Pix 192.168.202.204, diese geht auf 1 GB Switch und 1 100MB Switch. An dem 100MB hängen die Drucker und 2 Rechner meiner Kinder Subnetmaske 192.168.178.0. Internetzugang für die Kinder wird über Fritzbox Fon hergestellt 192.168.178.1. Die Rechner meiner Kanzlei sind alle auf dem GB Switch und haben die Subnetzmaske 192.168.202.0. Auf dem GB Switch habe ich keinen Platz mehr für die Drucker, der 100MB Switch ist nicht Vlan fähig. Jetzt muß ich mir entweder einen weiteres Switch kaufen oder ich bringe den Rechnern aus dem 192.168.202.0er Netz bei, wie sie die Drucker finden und ich kriege es einfach nicht hin.
Wäre super nett, wenn Du - oder jemand anders mir auf die Sprünge helfen könnte.
Danke, GErhard
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Server mit Windows Server X64, 2 Netzwerkkarten 1 x
192.168.202.210, 1x 192.168.178.210
[…]
WAN über Cisco Pix 192.168.202.204, diese geht auf 1 GB Switch
und 1 100MB Switch.
Also
Kanzleirechner - GB-Switch - Cisco - MB-Switch - Drucker
| |
+ - - - Server- - - +
?
Das wäre zwar eine etwas eigenwillige Konstruktion aber grundsätzlich funktionsfähig und ich würde hier über die für solche Zwecke prädestinierte Cisco routen. Aber grundsätzlich geht’s auch über den Server, nur muss dieser als Router eingerichtet sein. Was nicht zu verwechseln ist mit der unter Windows sogenannten ‚Netzwerkbrücke‘ oder ‚Internet Connection sharing‘, welche ein Routing ausschliessen. Unter w2k3 ist vielmehr der Routing- und RAS-Dienst einzurichten. Über die Pix - wenn mein Diagramm oben dem Ist enspricht - wär’s einfacher.
Gruss
Schorsch
Hallo Schorsch,
genauso sieht es aus - aber wie kann die Cisco routen? ich dachte das wäre meine Firewall!? Wenn die das machen würde, würde ich mich natürlich am wohlsten fühlen, denn ich denke da wäre ich auf der sicheren Seite. Ich habe bei der Pix noch keinen Menupunkt „Outing“! gefunden - aber wahrscheinlich muss ich da über Telnet ran und wie früher bei DOS commandline Eingaben machen - nur die kenne ich ja gleich gar nicht.
Gruss
Gerhard
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
genauso sieht es aus - aber wie kann die Cisco routen? ich
dachte das wäre meine Firewall!? Wenn die das machen würde,
würde ich mich natürlich am wohlsten fühlen, denn ich denke da
wäre ich auf der sicheren Seite. Ich habe bei der Pix noch
keinen Menupunkt „Outing“! gefunden - aber wahrscheinlich muss
ich da über Telnet ran und wie früher bei DOS commandline
Eingaben machen - nur die kenne ich ja gleich gar nicht.
Die Frage ist, um welches Modell es sich bei der Pix handelt. Die kleineren Modelle haben nur zwei Ethernet-Interfaces und eines wird bei dir wohl für WAN reserviert sein. Und damit wäre ein Routing (die Pix ist nichts weiter als ein Router, in den einige Sicherheitsfeatures integriert sind) in ein zweites lokales Netz nur dann möglich, wenn du auf der Pix auf einen physischen Ethernetanschluss mehrere VLANs definieren könntest. Und da ginge es dann, vorausgesetzt, dass die Pix das beherrscht (ich setze selber kaum Ciscos ein und habe auch gerade keine grosse Lust, mich durch deren Datenblätter zu wühlen), langsam ans Eingemachte.
Aber auch wenn die Cisco mehr als zwei Netzwerk-Interfaces hätte, erforderte ihre Konfiguration doch ein recht profundes Wissen. Da dürfte der Weg über den Server einfacher sein. Über Start-> Ausführen-> cys.exe startest du den „Serverkonfigurations-Assistenten“, der die Konfiguration zum „RAS/VPN-Server“ erlaubt. Zu konfigurieren ist „Benutzerdefinierte Konfiguration“, dann „LAN-Routing“. Der Rest sollte im wesentlichen selbsterklärend sein.
HTH
Schorsch